インシデント対応計画

事前に計画を立てておけば、ここぞという時に時間を節約できます。

インシデント対応計画とは

インシデント対応計画には、組織内で侵害やセキュリティ危機が発生した際に、誰がどのような対応をとるべきかについて記述されています。堅牢な対応計画は、損害を最低限に留めるため、チームが即座に動くことを可能にします。救急隊などの緊急時対応要員は、定期的なトレーニングシミュレーションやプロセスチェックを行っているため、状況が発生した時にはほとんど反射的に行動できます。情報セキュリティチームもそうした例をみならうと良いでしょう。緊急事態が発生した際には、時間が刻々と過ぎていく中でインシデント対応プロセスや手順を把握するために時間を無駄にしたくはありません。対応計画を定めることは非常に重要です。

危機状態を楽しいと思う人はいませんが、インシデント対応は準備しておいて損はありません。ネットワークに侵入されたり、データが侵害されたりした場合、対応には一刻を争います。そうした中で対応プロセスを探していると、往々にして混乱が起こり、さらにはインシデント自体への全体的な対応も遅くなりがちです。

組織がこのような状況に陥ることを防ぐために、インシデント対応チームには慎重かつ緻密に作成されたインシデント対応計画が必要になります。さまざまな役割を持つすべてのステークホルダーが参加する形で、起こり得るいくつものシナリオに対するリハーサルを定期的に実施する必要があります。結局のところ、セキュリティインシデントが発生したときに行動を起こす必要があるのはテクニカルチームだけではありません。法務チームやコミュニケーションチーム、そしてセキュリティサービスプロバイダとパートナーシップを結んでいる場合には特に、外部の人々も関与する必要があります。

堅牢なインシデント対応計画には何が含まれるか

緊急時における複雑性とリスクを減らすために、事前に実施できる多くの作業があります。インシデント対応計画には以下の内容が含まれます。

  • 重要な組織関係者から同意を取り付ける:緊急事態にチームが迅速に行動するためにはまず、重要なステークホルダーからのサポートが得られているという認識が必要です。Cレベルのエグゼクティブやその他のステークホルダーが対応計画に完全に同意していて、支援が得られる状態であり、危機の際にはインシデント対応チームが迅速に、自信を持って行動できる状態であることを明確にします。
  • 役割、責任、プロセスを明確に定義する:緊急事態になってから誰が何を担当しているのかを知り、その人物を探すのは一番避けたいところです。技術的なものからそうでないものまで、インシデント対応のすべて内容には、担当者とその責任が明確に記述されている必要があります。こうした役割を果たす担当者は、それぞれに期待されるタスクを実施するために十分な専門知識を持っている必要があります(これは最も経験が浅いチームメンバーをテストする機会ではありません)。さらに、侵害の初期範囲の判断からクライシスコミュニケーションにいたるまで、インシデント対応におけるそれぞれの役割では、インシデントが発生した際にどのようなプロセスに責任があり、担当者には何が期待されているのかを正確に把握しておく必要があります。計画の中で誰が何の責任を担うのかが曖昧になっている場合、危機の発生中に忘れられてしまう可能性があります。
  • 迅速な行動を可能にするテクノロジーとパートナーシップ:インシデント対応ドリルを実行する際には、迅速かつ効果的な対応に必要なすべてのツールが用意されていることを確認してください。一部の領域には大きなギャップがあり、他には若干の改善の余地があることも少なくありません。可能であれば、自動化を最大限利用しつつ、チームが組織内のテクノロジーやツールを使って効率的に作業できるようにしてください。

ここで重要なのは「迅速であること」です。組織内に迅速な対応を行うための専門知識やリソースがない場合、または迅速な対応に必要な情報が得られない場合は、外部のインシデント対応サービスを求めることで、こうしたギャップに対処し、インシデント対応時間を早めることができます。(その場合、お客様が行っているすべてのドリルにこの外部チームを参加させるようにしてください)

外部のインシデント対応サービス

インシデント対応計画で支援が必要な場合、外部プロバイダを参加させることで戦略的および戦術的なギャップへの対応に役立ちます。

  • 堅牢なセキュリティプログラムを開発する:インシデント検出プログラムが組織に関連するすべての不測事態をカバーしているかどうかがわからない場合、インシデント対応サービスを利用することでインシデントや侵害への準備を強化することができます。
  • テーブルトップエクササイズの実施:内部インシデント対応チームの能力を外部のサービスプロバイダが行う脅威に関するシミュレーションエクササイズによって測ることで、チームの準備を確実にします。
  • 侵害や違反に対する準備状況の評価:外部のインシデント対応チームは、組織の環境やセキュリティプロセスの現状を評価し、潜在的なリスクやギャップを特定することができます。
  • 侵害に対する即時修正:侵害の可能性があり、即時の支援が必要な場合、外部のインシデント対応サービスが即時にアクションをとり、さらなる被害を防止することができます。
  • インシデントに対応する担当者を提供:1つのインシデント対応サービスにつき1人の担当者をつけることで、お客様のチームの連携が最大限に高まり、最悪の事態が発生した場合にも外部チームが確実に対処するようになります。多くの担当者は上記の複数のサービスに対応しており、対応時間に関する特定のサービスレベル契約の履行が保証されることも少なくありません。

繰り返しになるかもしれませんが、侵害への備えで本当に最悪なのは、対応が後手に回ることです。堅牢なインシデント対応計画を設けて、すべてのステークホルダーとのコミュニケーションを確保することが、この最悪のシナリオに備える最善の方法です。

We love to give you options. 

This page is also available in English!

Switch to English Continue in Japanese